DANE协议如何使证书颁发机构过时？

Question

基于DNS的命名实体身份验证(丹恩)协议如何使证书颁发机构(CA)过时？

换句话说:在技术上，丹恩怎么可能不需要证书颁发机构？

Answer 1

DANE使域的每个所有者都能够在DNS中发布其证书，即完全由证书所有者的域所有者管理。但是，DANE需要DNSSec，因为否则这样的记录可能会被伪造，这将是证书的一个主要问题。因此，虽然DANE不依赖证书层次结构来构建到可信根CA的链，但它仍然依赖于一个类似的概念:具有可信根密钥的密钥层次结构。

CA颁发的证书的主要区别在于，域所有者可以完全创建属于其域本身的所有证书，并将其插入到此受信任密钥的层次结构中。类似的撤销更容易，因为密钥必须简单地从DNS中删除。当然，这要求域所有者能够管理自己的DNS记录，并且这些记录受到DNSSec的保护。